Làm thế nào để không bao giờ bị lừa đảo trong Tiền điện tử một lần nữa
TUYÊN BỐ
Hướng dẫn này không đảm bảo bất cứ điều gì và không được viết từ góc nhìn của một “chuyên gia về tiền điện tử hoặc an ninh mạng.”
Đó là kết quả của việc học hỏi liên tục từ nhiều nguồn và kinh nghiệm cá nhân.
Ví dụ, tôi đã bị lừa qua FOMO và lòng tham rất sớm (lừa đảo livestream giả và lừa đảo bot MEV giả) khi mới vào không gian này, vì vậy tôi dành thời gian để học hỏi, thiết lập và hiểu về an ninh một cách nghiêm túc.
Đừng là người phải học về bảo mật vì bạn đã mất tất cả hoặc một số lượng đáng kể một cách đau đớn.
HACK HOẶC LỖI NGƯỜI DÙNG?
Tất cả các loại hack/vi phạm về ví/tiền điện tử/NFT rộng rãi thuộc vào một trong hai loại:
Lạm dụng sự chấp thuận mã thông báo đã được cấp trước đó.
Khoá riêng/ cụm từ gốc bị đe dọa (thường là trên ví nóng).
PHÊ DUYỆT TOKEN
Token approvals are essentially a permission for a smart contract to access and move a specific type or amount of a token from your wallet.
Ví dụ:
- Cho phép OpenSea di chuyển NFT của bạn để bạn có thể bán nó.
- Cho phép Uniswap sử dụng token của bạn để bạn có thể thực hiện giao dịch đổi.
\
Nếu bạn muốn đọc thêm về việc phê duyệt mã thông báo, Bạn có thể đọc chủ đề này ở đây.
Để có một số ngữ cảnh trước, về cơ bản mọi thứ trên mạng lưới Ethereum, TRỪ ETH, đều là token ERC-20.
Một trong những đặc tính của các token ERC-20 là khả năng cấp quyền phê duyệt cho các hợp đồng thông minh khác.
Những phê duyệt này được yêu cầu tại một số điểm nếu bạn muốn thực hiện các tương tác DeFi cốt lõi như hoán đổi hoặc cầu nối các token.
NFTs tương ứng lần lượt là ERC-721 và 1155; cơ chế phê duyệt của họ hoạt động tương tự như ERC-20 nhưng dành cho các sàn giao dịch NFT.
Thông báo phê duyệt mã thông báo ban đầu từ MetaMask (MM) cung cấp cho bạn một số thông tin nhưng quan trọng nhất là:
token bạn đang cho phép
trang web mà bạn đang tương tác
hợp đồng thông minh mà bạn đang tương tác
khả năng chỉnh sửa số lượng quyền token
Dưới menu thả xuống chi tiết đầy đủ, chúng ta thấy một mẩu thông tin bổ sung: chức năng phê duyệt.
Tất cả các token ERC-20 phải có các đặc tính và thuộc tính nhất định được mô tả bởi tiêu chuẩn ERC-20.
Một trong những điều này là khả năng cho hợp đồng thông minh di chuyển token dựa trên số lượng đã được phê duyệt.
Nguy hiểm trong việc cấp phép này là nếu bạn cấp quyền cho các mã thông minh độc hại, bạn có thể bị mất/rút hết tài sản.
PHÊ DUYỆT GIỚI HẠN VÔ HẠN SO VỚI TÙY CHỈNH (ERC-20 TOKENS)
Nhiều ứng dụng DeFi sẽ mặc định yêu cầu phê duyệt không giới hạn của mã thông báo ERC20.
Điều này nhằm cải thiện trải nghiệm người dùng vì nó thuận tiện hơn và không đòi hỏi sự chấp thuận trong tương lai tiềm năng, từ đó tiết kiệm thời gian và phí gas.
TẠI SAO ĐIỀU NÀY QUAN TRỌNG?
Cho phép phê duyệt một số lượng token không giới hạn có thể đặt quỹ của bạn vào nguy cơ.
Chỉnh sửa thủ công sự chấp thuận mã thông báo thành một số lượng cụ thể đặt số lượng tối đa của mã thông báo mà ứng dụng được chấp thuận có thể di chuyển cho đến khi thực hiện chấp thuận khác cho một số lượng lớn hơn.
Điều này giới hạn rủi ro mất giá nếu hợp đồng thông minh đó bị khai thác. Nếu có sự khai thác trong một ứng dụng phi tập trung mà bạn đã cấp phép vô hạn, thì bạn đang đối mặt với nguy cơ mất tất cả các token đã được phê duyệt từ ví chứa tài sản và đã được cấp phép đó.
XemLỗ hổng Multichain WETH (WETH là một lớp bọc token ERC-20 của ETH)như một ví dụ.
Cầu này thường được sử dụng đã bị lợi dụng bằng cách lạm dụng quyền token không giới hạn trước đó để lấy tiền từ người dùng.
Một ví dụ (sử dụng ví Zerion) về việc chuyển từ phê duyệt Không giới hạn mặc định sang phê duyệt thủ công.
NFT APPROVALS
“setApprovalForAll” cho NFTs
Đây là một sự chấp thuận phổ biến, nhưng tiềm ẩn nguy hiểm thường được cấp cho các sàn NFT tin cậy khi bạn muốn bán NFT của mình.
Điều này cho phép NFT có thể được chuyển nhượng bởi hợp đồng thông minh của một thị trường. Do đó, khi bạn bán một NFT cho một người mua, hợp đồng thông minh của thị trường đó có thể tự động chuyển NFT cho người mua.
Sự chấp thuận này cấp quyền truy cập cho tất cả các token NFT từ một địa chỉ bộ sưu tập/hợp đồng cụ thể.
Điều này cũng có thể được sử dụng bởi các trang web/ hợp đồng độc hại để đánh cắp NFT của bạn.
VÍ DỤ VỀ HÀNH ĐỘNG ĐỘC HẠI CỦA KẺ XẤU LẠM DỤNG “SETAPPROVALFORALL”
Sự thu hút 'ví' cổ điển cho tình huống đúng hẹn không có áp lực FOMO diễn ra như sau:
Người dùng truy cập vào một trang web độc hại mà họ tin rằng là hợp pháp.
Khi họ kết nối ví của họ với một trang web, trang web chỉ có thể thấy nội dung của ví.
Tuy nhiên, họ sử dụng điều này để quét ví để tìm kiếm các NFT có giá trị cao nhất và yêu cầu 'thiết lập phê duyệt cho tất cả' từ MM cho địa chỉ hợp đồng cho NFT này.
Người dùng nghĩ họ đang tạo ra tiền điện tử nhưng thực tế họ đang cho phép hợp đồng độc hại di chuyển những token đó.
Kẻ lừa đảo sau đó đánh cắp token và thanh lý chúng thành các lệnh mở hoặc lệnh Blur trước khi mục được đánh dấu là bị đánh cắp.
CHỮ KÝ SO VỚI PHÊ DUYỆT
Các phê duyệt YÊU CẦU khí gas, vì chúng đang xử lý một giao dịch.
Chữ ký không cần gas và thường được sử dụng để đăng nhập vào các ứng dụng phi tập trung để chứng minh bạn kiểm soát ví tương ứng đó.
Chữ ký thông thường là những hành động có nguy cơ thấp hơn nhưng vẫn có thể được sử dụng để lợi dụng các phê duyệt trước đó được cấp cho các trang web đáng tin cậy như OpenSea.
(Đối với ERC-20), đồng ý của bạn có thể được sửa đổi bằng chữ ký không khí vì chức năng cho phép đã được giới thiệu gần đây trên ETH.
Điều này có thể thấy nếu bạn sử dụng một DEX như 1inch.
Đọc kỹ hơn về điều nàytại đây.
NHẬN ĐƯỢC SỰ CHẤP NHẬN TOKEN
Hãy cẩn thận khi bạn cấp phép cho bất cứ điều gì, hãy đảm bảo bạn biết bạn đang cấp phép cho các token gì và cho hợp đồng thông minh nào (sử dụng etherscan.)
Giới hạn rủi ro của bạn đối với các phê duyệt:
- Sử dụng nhiều ví (phê duyệt dành riêng cho ví) - không ký phê duyệt cho kho tiền / ví có giá trị cao của bạn.
- Lý tưởng là giảm hoặc hoàn toàn tránh việc cấp phép không giới hạn cho ERC-20s.
- Kiểm tra và thu hồi các phê duyệt định kỳ qua etherscan hoặc revoke.cash.
Revoke.cashGate.io là một trang web cho phép bạn dễ dàng thu hồi các sự cho phép mã thông báo khác nhau.
VÍ PHẦN CỨNG / VÍ CỨNG
Ví nóng được kết nối với internet thông qua máy tính hoặc điện thoại của bạn. Khóa/Thông tin đăng nhập ví được lưu trữ trực tuyến hoặc cục bộ trong trình duyệt của bạn.
Ví lạnh là thiết bị phần cứng nơi khóa được tạo và lưu trữ hoàn toàn OFFLINE và vật lý gần bạn.
Với việc sổ cái có giá khoảng $120, nếu bạn có hơn $1000 trong tài sản tiền điện tử, bạn nên mua và cài đặt một Sổ cái. Bạn có thể kết nối (không phải nhập) các ví sổ cái của bạn vào MM để có cùng chức năng như một ví nóng khác trong khi vẫn duy trì một mức độ an toàn.
Ledger và Trezor là hai loại phổ biến nhất. Tôi thích Ledger vì nó tương thích nhất với ví trình duyệt (tương tự Rabby và MM).
CÁC NGUYÊN TẮC TỐT NHẤT KHI MUA LEDGER
Luôn mua từ trang web chính thức của nhà sản xuất, ĐỪNG mua trên Ebay hoặc Amazon = có thể bị tấn công / có phần mềm độc hại đã được tải trước.
Đảm bảo bao bì được niêm phong khi bạn nhận được sản phẩm.
Khi bạn thiết lập sổ cái lần đầu tiên, nó sẽ tạo ra một cụm từ khóa mật.
CHỈ viết hạt giống trên GIẤY vật lý hoặc một tấm thép vào một ngày sau này để hạt giống của bạn chống cháy và chống nước.
KHÔNG BAO GIỜ chụp ảnh hoặc gõ seed vào BẤT KỲ hình thức bàn phím nào (bao gồm điện thoại) điều này = số hóa seed và ví "lạnh" của bạn bây giờ trở thành ví "nóng" không an toàn.
Tiền điện tử không được lưu trữ trực tiếp trên ví cứng mà được lưu trữ “bên trong” ví được tạo ra bằng cụm từ khóa.
Cụm từ khóa (12-24 từ) là TẤT CẢ, nó phải được bảo vệ/bảo mật bằng mọi giá.
Nó cung cấp toàn quyền điều khiển/truy cập đến TẤT CẢ các ví được tạo ra dưới cụm từ khóa giống nhau đó.
Hạt giống không phụ thuộc vào thiết bị cụ thể, bạn có thể “nhập” nó vào một chiếc ví cứng khác như một bản sao lưu nếu cần thiết.
Nếu hạt giống bị mất/hư hỏng và ví cứng gốc bị mất/hư hỏng/khóa = mất quyền truy cập VĨNH VIỄN đến TẤT CẢ tài sản của bạn.
Có nhiều cấp độ lưu trữ seed như, chia thành nhiều phần, tạo khoảng cách vật lý giữa các phần, lưu trữ ở những nơi không rõ ràng (một lon canh đáy tủ đông, dưới lòng đất nào đó trên tài sản của bạn, v.v.)
Tối thiểu bạn nên có ít nhất 2-3 bản sao với một bản trên thép để bảo vệ chống lại nước và lửa.
Một “private key” giống như một cụm từ hạt giống nhưng chỉ dành cho 1 ví cụ thể. Nó thường được sử dụng để nhập ví nóng vào một tài khoản MM mới hoặc trong các công cụ tự động hóa như bot giao dịch.
TỪ THỨ 25 - LEDGER
Ngoài từ khóa gốc 24 từ, Ledger còn có một tính năng bảo mật bổ sung tùy chọn.
The Cụm từ mật khẩu là một tính năng nâng cao cho phép bạn thêm một từ thứ 25 do bạn chọn vào cụm từ khôi phục của mình, có tối đa 100 ký tự.
Sử dụng mật khẩu sẽ tạo ra một tập hợp hoàn toàn khác của địa chỉ không thể truy cập chỉ thông qua cụm từ khôi phục 24 từ một mình.
Ngoài việc thêm một lớp bảo mật, Passphrase còn cho phép bạn có thể phủ nhận khi bị ép buộc.
Nếu sử dụng mật khẩu bí mật, quan trọng là lưu trữ nó một cách an toàn hoặc nhớ nó hoàn hảo, ký tự cho ký tự và phân biệt hoa thường.
Đây là phương pháp phòng thủ cuối cùng duy nhất trong các trường hợp bị tấn công bằng “$5 wrench” mà bạn bị đe dọa thể chất.
TẠI SAO PHẢI VƯỢT QUA TẤT CẢ CÁC SỰ CỐ NẠP CÀI ĐẶT MỘT VÍ PHẦN CỨNG?
Ví nóng lưu trữ các khóa riêng tư ở một vị trí kết nối với Internet.
Rất dễ bị lừa, đánh lừa và điều khiển để tiết lộ thông tin này qua Internet.
Sở hữu một ví lạnh có nghĩa là kẻ lừa đảo sẽ cần tìm và lấy ledger hoặc seed của bạn vật lý để truy cập vào những ví và tài sản bên trong.
Hạt giống bị xâm phạm = tất cả các ví nóng và tài sản bên trong đều có nguy cơ, ngay cả những ví chưa tương tác với trang web / hợp đồng độc hại.
CÁC CÁCH THƯỜNG GẶP TRONG QUÁ KHỨ MÀ NGƯỜI TA ĐÃ BỊ "HACK"
Các cách phổ biến trong quá khứ mà mọi người đã bị “hack” (khoá gốc bị xâm phạm) thông qua ví nóng.
Bị lừa tải phần mềm độc hại thông qua tệp PDF về đề xuất việc làm, trò chơi “beta testing”, chạy macros qua bảng tính google, bắt chước các trang web và dịch vụ hợp pháp.
Tương tác với các hợp đồng độc hại: đào FOMO từ một trang web giả mạo, tương tác với hợp đồng từ các NFT không rõ nguồn gốc được nhận qua airdrop.
Chèn hoặc gửi các khóa và hạt giống cho "hỗ trợ khách hàng" hoặc một chương trình/mẫu liên quan.
VÍ DỤ VÀ PHÂN TÍCH CÁC 'HACK' CAO CẤP
Kevin Rose: Đã đi tạo một bộ sưu tập (art block), ký một giao dịch chữ ký (không mất gas) tưởng rằng anh ta chỉ đăng nhập vào trang web tạo mint.
Nhưng Seaport (hợp đồng thị trường OpenSea mới) cho phép bạn tạo đơn đặt hàng tùy chỉnh mà sau đó bạn có thể chấp nhận chỉ với một chữ ký.
Vì Kevin đã cấp phép cho tài sản của mình cho hợp đồng OpenSea, người tấn công đã lừa anh ta ký tên để hoàn thành một đơn đặt hàng tùy chỉnh để bán tất cả các NFT đắt tiền của Kevin miễn phí / ~ $1 cho người tấn công.
Những điểm chính:
Chữ ký cũng có thể bị lạm dụng nếu chúng tận dụng những phê duyệt đã được cấp, ngay cả khi phê duyệt đó được cấp cho một nguồn tin đáng tin cậy
Đừng ký quyền OpenSea (OS) trên các trang web khác ngoài OS, không tương tác với hợp đồng hoặc trang web nếu bạn có ví 'grail/main vault', gửi nó vào một ví trung gian và sau đó tương tác.
NFT_GOD: đã sử dụng tùy chọn nhập tài khoản (ngược lại với tùy chọn thêm ví cứng) của MetaMask và nhập cụm từ khóa vào MetaMask khi thiết lập ledger của mình.
Điều này thực sự biến chiếc ví lạnh của anh ấy thành một chiếc ví nóng - hãy nhớ nguyên tắc vàng trước đó là không bao giờ số hóa cụm từ khóa gốc của bạn.
Anh ta sau đó có vẻ đã tải xuống một phần mềm ghi hình giả mạo gọi là ODS mà đang được quảng cáo như một quảng cáo ở đầu trang của tìm kiếm Google.
Đây là phần mềm độc hại, nó đã đánh cắp cụm từ gốc sau đó đánh cắp tất cả tài sản trong ví nóng của anh ấy và cũng là ví lạnh của anh ấy.
Nhận xét chính:
KHÔNG BAO GIỜ ‘số hóa’ cụm từ gốc của bạn bằng bất kỳ cách nào = gõ nó vào bất kỳ loại bàn phím nào (điện thoại cũng vậy) hoặc chụp ảnh (sao lưu tự động lên dịch vụ đám mây cũng đã khiến người dùng bị đe dọa.)
Thông báo miễn trừ trách nhiệm:
Bài viết này được sao chép từ [Người trong cuộc sâu sắc], Chuyển tiếp tiêu đề gốc 'Làm thế nào để không bao giờ bị gồ ghề trong tiền điện tử nữa', Tất cả bản quyền thuộc về tác giả gốc [THÔNG TIN]. Nếu có ý kiến phản đối bản in lại này, vui lòng liên hệ với Cổng họcđội ngũ và họ sẽ xử lý nhanh chóng.
Miễn trách nhiệm: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
Việc dịch bài viết sang các ngôn ngữ khác được thực hiện bởi đội ngũ Gate Learn. Trừ khi có đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là cấm.
HACK HAY LỖI NGƯỜI DÙNG?
PHÊ DUYỆT GIỚI HẠN KHÔNG GIỚI HẠN SO VỚI TÙY CHỈNH (MÃ THÔNG BÁO ERC-20)
TẠI SAO ĐIỀU NÀY QUAN TRỌNG?
XÁC NHẬN NFT
VÍ DỤ VỀ NGƯỜI THAM GIA ĐỘC HẠI LẠM DỤNG “SETAPPROVALFORALL”
CHỮ KÝ SO VỚI PHÊ DUYỆT
NHẬN XÉT VỀ VIỆC PHÊ DUYỆT TOKEN
HARDWARE/COLD WALLETS
CÁC PHƯƠNG PHÁP TỐT NHẤT KHI MUA MỘT LEDGER
TỪ THỨ 25 - LEDGER
Bài viết liên quan
Cách đặt cược ETH?
Phân tích cơ bản là gì?
Hướng dẫn giao dịch cho người mới bắt đầu
Làm thế nào để không bao giờ bị lừa đảo trong Tiền điện tử một lần nữa
HACK HAY LỖI NGƯỜI DÙNG?
PHÊ DUYỆT GIỚI HẠN KHÔNG GIỚI HẠN SO VỚI TÙY CHỈNH (MÃ THÔNG BÁO ERC-20)
TẠI SAO ĐIỀU NÀY QUAN TRỌNG?
XÁC NHẬN NFT
VÍ DỤ VỀ NGƯỜI THAM GIA ĐỘC HẠI LẠM DỤNG “SETAPPROVALFORALL”
CHỮ KÝ SO VỚI PHÊ DUYỆT
NHẬN XÉT VỀ VIỆC PHÊ DUYỆT TOKEN
HARDWARE/COLD WALLETS
CÁC PHƯƠNG PHÁP TỐT NHẤT KHI MUA MỘT LEDGER
TỪ THỨ 25 - LEDGER
TUYÊN BỐ
Hướng dẫn này không đảm bảo bất cứ điều gì và không được viết từ góc nhìn của một “chuyên gia về tiền điện tử hoặc an ninh mạng.”
Đó là kết quả của việc học hỏi liên tục từ nhiều nguồn và kinh nghiệm cá nhân.
Ví dụ, tôi đã bị lừa qua FOMO và lòng tham rất sớm (lừa đảo livestream giả và lừa đảo bot MEV giả) khi mới vào không gian này, vì vậy tôi dành thời gian để học hỏi, thiết lập và hiểu về an ninh một cách nghiêm túc.
Đừng là người phải học về bảo mật vì bạn đã mất tất cả hoặc một số lượng đáng kể một cách đau đớn.
HACK HOẶC LỖI NGƯỜI DÙNG?
Tất cả các loại hack/vi phạm về ví/tiền điện tử/NFT rộng rãi thuộc vào một trong hai loại:
Lạm dụng sự chấp thuận mã thông báo đã được cấp trước đó.
Khoá riêng/ cụm từ gốc bị đe dọa (thường là trên ví nóng).
PHÊ DUYỆT TOKEN
Token approvals are essentially a permission for a smart contract to access and move a specific type or amount of a token from your wallet.
Ví dụ:
- Cho phép OpenSea di chuyển NFT của bạn để bạn có thể bán nó.
- Cho phép Uniswap sử dụng token của bạn để bạn có thể thực hiện giao dịch đổi.
\
Nếu bạn muốn đọc thêm về việc phê duyệt mã thông báo, Bạn có thể đọc chủ đề này ở đây.
Để có một số ngữ cảnh trước, về cơ bản mọi thứ trên mạng lưới Ethereum, TRỪ ETH, đều là token ERC-20.
Một trong những đặc tính của các token ERC-20 là khả năng cấp quyền phê duyệt cho các hợp đồng thông minh khác.
Những phê duyệt này được yêu cầu tại một số điểm nếu bạn muốn thực hiện các tương tác DeFi cốt lõi như hoán đổi hoặc cầu nối các token.
NFTs tương ứng lần lượt là ERC-721 và 1155; cơ chế phê duyệt của họ hoạt động tương tự như ERC-20 nhưng dành cho các sàn giao dịch NFT.
Thông báo phê duyệt mã thông báo ban đầu từ MetaMask (MM) cung cấp cho bạn một số thông tin nhưng quan trọng nhất là:
token bạn đang cho phép
trang web mà bạn đang tương tác
hợp đồng thông minh mà bạn đang tương tác
khả năng chỉnh sửa số lượng quyền token
Dưới menu thả xuống chi tiết đầy đủ, chúng ta thấy một mẩu thông tin bổ sung: chức năng phê duyệt.
Tất cả các token ERC-20 phải có các đặc tính và thuộc tính nhất định được mô tả bởi tiêu chuẩn ERC-20.
Một trong những điều này là khả năng cho hợp đồng thông minh di chuyển token dựa trên số lượng đã được phê duyệt.
Nguy hiểm trong việc cấp phép này là nếu bạn cấp quyền cho các mã thông minh độc hại, bạn có thể bị mất/rút hết tài sản.
PHÊ DUYỆT GIỚI HẠN VÔ HẠN SO VỚI TÙY CHỈNH (ERC-20 TOKENS)
Nhiều ứng dụng DeFi sẽ mặc định yêu cầu phê duyệt không giới hạn của mã thông báo ERC20.
Điều này nhằm cải thiện trải nghiệm người dùng vì nó thuận tiện hơn và không đòi hỏi sự chấp thuận trong tương lai tiềm năng, từ đó tiết kiệm thời gian và phí gas.
TẠI SAO ĐIỀU NÀY QUAN TRỌNG?
Cho phép phê duyệt một số lượng token không giới hạn có thể đặt quỹ của bạn vào nguy cơ.
Chỉnh sửa thủ công sự chấp thuận mã thông báo thành một số lượng cụ thể đặt số lượng tối đa của mã thông báo mà ứng dụng được chấp thuận có thể di chuyển cho đến khi thực hiện chấp thuận khác cho một số lượng lớn hơn.
Điều này giới hạn rủi ro mất giá nếu hợp đồng thông minh đó bị khai thác. Nếu có sự khai thác trong một ứng dụng phi tập trung mà bạn đã cấp phép vô hạn, thì bạn đang đối mặt với nguy cơ mất tất cả các token đã được phê duyệt từ ví chứa tài sản và đã được cấp phép đó.
XemLỗ hổng Multichain WETH (WETH là một lớp bọc token ERC-20 của ETH)như một ví dụ.
Cầu này thường được sử dụng đã bị lợi dụng bằng cách lạm dụng quyền token không giới hạn trước đó để lấy tiền từ người dùng.
Một ví dụ (sử dụng ví Zerion) về việc chuyển từ phê duyệt Không giới hạn mặc định sang phê duyệt thủ công.
NFT APPROVALS
“setApprovalForAll” cho NFTs
Đây là một sự chấp thuận phổ biến, nhưng tiềm ẩn nguy hiểm thường được cấp cho các sàn NFT tin cậy khi bạn muốn bán NFT của mình.
Điều này cho phép NFT có thể được chuyển nhượng bởi hợp đồng thông minh của một thị trường. Do đó, khi bạn bán một NFT cho một người mua, hợp đồng thông minh của thị trường đó có thể tự động chuyển NFT cho người mua.
Sự chấp thuận này cấp quyền truy cập cho tất cả các token NFT từ một địa chỉ bộ sưu tập/hợp đồng cụ thể.
Điều này cũng có thể được sử dụng bởi các trang web/ hợp đồng độc hại để đánh cắp NFT của bạn.
VÍ DỤ VỀ HÀNH ĐỘNG ĐỘC HẠI CỦA KẺ XẤU LẠM DỤNG “SETAPPROVALFORALL”
Sự thu hút 'ví' cổ điển cho tình huống đúng hẹn không có áp lực FOMO diễn ra như sau:
Người dùng truy cập vào một trang web độc hại mà họ tin rằng là hợp pháp.
Khi họ kết nối ví của họ với một trang web, trang web chỉ có thể thấy nội dung của ví.
Tuy nhiên, họ sử dụng điều này để quét ví để tìm kiếm các NFT có giá trị cao nhất và yêu cầu 'thiết lập phê duyệt cho tất cả' từ MM cho địa chỉ hợp đồng cho NFT này.
Người dùng nghĩ họ đang tạo ra tiền điện tử nhưng thực tế họ đang cho phép hợp đồng độc hại di chuyển những token đó.
Kẻ lừa đảo sau đó đánh cắp token và thanh lý chúng thành các lệnh mở hoặc lệnh Blur trước khi mục được đánh dấu là bị đánh cắp.
CHỮ KÝ SO VỚI PHÊ DUYỆT
Các phê duyệt YÊU CẦU khí gas, vì chúng đang xử lý một giao dịch.
Chữ ký không cần gas và thường được sử dụng để đăng nhập vào các ứng dụng phi tập trung để chứng minh bạn kiểm soát ví tương ứng đó.
Chữ ký thông thường là những hành động có nguy cơ thấp hơn nhưng vẫn có thể được sử dụng để lợi dụng các phê duyệt trước đó được cấp cho các trang web đáng tin cậy như OpenSea.
(Đối với ERC-20), đồng ý của bạn có thể được sửa đổi bằng chữ ký không khí vì chức năng cho phép đã được giới thiệu gần đây trên ETH.
Điều này có thể thấy nếu bạn sử dụng một DEX như 1inch.
Đọc kỹ hơn về điều nàytại đây.
NHẬN ĐƯỢC SỰ CHẤP NHẬN TOKEN
Hãy cẩn thận khi bạn cấp phép cho bất cứ điều gì, hãy đảm bảo bạn biết bạn đang cấp phép cho các token gì và cho hợp đồng thông minh nào (sử dụng etherscan.)
Giới hạn rủi ro của bạn đối với các phê duyệt:
- Sử dụng nhiều ví (phê duyệt dành riêng cho ví) - không ký phê duyệt cho kho tiền / ví có giá trị cao của bạn.
- Lý tưởng là giảm hoặc hoàn toàn tránh việc cấp phép không giới hạn cho ERC-20s.
- Kiểm tra và thu hồi các phê duyệt định kỳ qua etherscan hoặc revoke.cash.
Revoke.cashGate.io là một trang web cho phép bạn dễ dàng thu hồi các sự cho phép mã thông báo khác nhau.
VÍ PHẦN CỨNG / VÍ CỨNG
Ví nóng được kết nối với internet thông qua máy tính hoặc điện thoại của bạn. Khóa/Thông tin đăng nhập ví được lưu trữ trực tuyến hoặc cục bộ trong trình duyệt của bạn.
Ví lạnh là thiết bị phần cứng nơi khóa được tạo và lưu trữ hoàn toàn OFFLINE và vật lý gần bạn.
Với việc sổ cái có giá khoảng $120, nếu bạn có hơn $1000 trong tài sản tiền điện tử, bạn nên mua và cài đặt một Sổ cái. Bạn có thể kết nối (không phải nhập) các ví sổ cái của bạn vào MM để có cùng chức năng như một ví nóng khác trong khi vẫn duy trì một mức độ an toàn.
Ledger và Trezor là hai loại phổ biến nhất. Tôi thích Ledger vì nó tương thích nhất với ví trình duyệt (tương tự Rabby và MM).
CÁC NGUYÊN TẮC TỐT NHẤT KHI MUA LEDGER
Luôn mua từ trang web chính thức của nhà sản xuất, ĐỪNG mua trên Ebay hoặc Amazon = có thể bị tấn công / có phần mềm độc hại đã được tải trước.
Đảm bảo bao bì được niêm phong khi bạn nhận được sản phẩm.
Khi bạn thiết lập sổ cái lần đầu tiên, nó sẽ tạo ra một cụm từ khóa mật.
CHỈ viết hạt giống trên GIẤY vật lý hoặc một tấm thép vào một ngày sau này để hạt giống của bạn chống cháy và chống nước.
KHÔNG BAO GIỜ chụp ảnh hoặc gõ seed vào BẤT KỲ hình thức bàn phím nào (bao gồm điện thoại) điều này = số hóa seed và ví "lạnh" của bạn bây giờ trở thành ví "nóng" không an toàn.
Tiền điện tử không được lưu trữ trực tiếp trên ví cứng mà được lưu trữ “bên trong” ví được tạo ra bằng cụm từ khóa.
Cụm từ khóa (12-24 từ) là TẤT CẢ, nó phải được bảo vệ/bảo mật bằng mọi giá.
Nó cung cấp toàn quyền điều khiển/truy cập đến TẤT CẢ các ví được tạo ra dưới cụm từ khóa giống nhau đó.
Hạt giống không phụ thuộc vào thiết bị cụ thể, bạn có thể “nhập” nó vào một chiếc ví cứng khác như một bản sao lưu nếu cần thiết.
Nếu hạt giống bị mất/hư hỏng và ví cứng gốc bị mất/hư hỏng/khóa = mất quyền truy cập VĨNH VIỄN đến TẤT CẢ tài sản của bạn.
Có nhiều cấp độ lưu trữ seed như, chia thành nhiều phần, tạo khoảng cách vật lý giữa các phần, lưu trữ ở những nơi không rõ ràng (một lon canh đáy tủ đông, dưới lòng đất nào đó trên tài sản của bạn, v.v.)
Tối thiểu bạn nên có ít nhất 2-3 bản sao với một bản trên thép để bảo vệ chống lại nước và lửa.
Một “private key” giống như một cụm từ hạt giống nhưng chỉ dành cho 1 ví cụ thể. Nó thường được sử dụng để nhập ví nóng vào một tài khoản MM mới hoặc trong các công cụ tự động hóa như bot giao dịch.
TỪ THỨ 25 - LEDGER
Ngoài từ khóa gốc 24 từ, Ledger còn có một tính năng bảo mật bổ sung tùy chọn.
The Cụm từ mật khẩu là một tính năng nâng cao cho phép bạn thêm một từ thứ 25 do bạn chọn vào cụm từ khôi phục của mình, có tối đa 100 ký tự.
Sử dụng mật khẩu sẽ tạo ra một tập hợp hoàn toàn khác của địa chỉ không thể truy cập chỉ thông qua cụm từ khôi phục 24 từ một mình.
Ngoài việc thêm một lớp bảo mật, Passphrase còn cho phép bạn có thể phủ nhận khi bị ép buộc.
Nếu sử dụng mật khẩu bí mật, quan trọng là lưu trữ nó một cách an toàn hoặc nhớ nó hoàn hảo, ký tự cho ký tự và phân biệt hoa thường.
Đây là phương pháp phòng thủ cuối cùng duy nhất trong các trường hợp bị tấn công bằng “$5 wrench” mà bạn bị đe dọa thể chất.
TẠI SAO PHẢI VƯỢT QUA TẤT CẢ CÁC SỰ CỐ NẠP CÀI ĐẶT MỘT VÍ PHẦN CỨNG?
Ví nóng lưu trữ các khóa riêng tư ở một vị trí kết nối với Internet.
Rất dễ bị lừa, đánh lừa và điều khiển để tiết lộ thông tin này qua Internet.
Sở hữu một ví lạnh có nghĩa là kẻ lừa đảo sẽ cần tìm và lấy ledger hoặc seed của bạn vật lý để truy cập vào những ví và tài sản bên trong.
Hạt giống bị xâm phạm = tất cả các ví nóng và tài sản bên trong đều có nguy cơ, ngay cả những ví chưa tương tác với trang web / hợp đồng độc hại.
CÁC CÁCH THƯỜNG GẶP TRONG QUÁ KHỨ MÀ NGƯỜI TA ĐÃ BỊ "HACK"
Các cách phổ biến trong quá khứ mà mọi người đã bị “hack” (khoá gốc bị xâm phạm) thông qua ví nóng.
Bị lừa tải phần mềm độc hại thông qua tệp PDF về đề xuất việc làm, trò chơi “beta testing”, chạy macros qua bảng tính google, bắt chước các trang web và dịch vụ hợp pháp.
Tương tác với các hợp đồng độc hại: đào FOMO từ một trang web giả mạo, tương tác với hợp đồng từ các NFT không rõ nguồn gốc được nhận qua airdrop.
Chèn hoặc gửi các khóa và hạt giống cho "hỗ trợ khách hàng" hoặc một chương trình/mẫu liên quan.
VÍ DỤ VÀ PHÂN TÍCH CÁC 'HACK' CAO CẤP
Kevin Rose: Đã đi tạo một bộ sưu tập (art block), ký một giao dịch chữ ký (không mất gas) tưởng rằng anh ta chỉ đăng nhập vào trang web tạo mint.
Nhưng Seaport (hợp đồng thị trường OpenSea mới) cho phép bạn tạo đơn đặt hàng tùy chỉnh mà sau đó bạn có thể chấp nhận chỉ với một chữ ký.
Vì Kevin đã cấp phép cho tài sản của mình cho hợp đồng OpenSea, người tấn công đã lừa anh ta ký tên để hoàn thành một đơn đặt hàng tùy chỉnh để bán tất cả các NFT đắt tiền của Kevin miễn phí / ~ $1 cho người tấn công.
Những điểm chính:
Chữ ký cũng có thể bị lạm dụng nếu chúng tận dụng những phê duyệt đã được cấp, ngay cả khi phê duyệt đó được cấp cho một nguồn tin đáng tin cậy
Đừng ký quyền OpenSea (OS) trên các trang web khác ngoài OS, không tương tác với hợp đồng hoặc trang web nếu bạn có ví 'grail/main vault', gửi nó vào một ví trung gian và sau đó tương tác.
NFT_GOD: đã sử dụng tùy chọn nhập tài khoản (ngược lại với tùy chọn thêm ví cứng) của MetaMask và nhập cụm từ khóa vào MetaMask khi thiết lập ledger của mình.
Điều này thực sự biến chiếc ví lạnh của anh ấy thành một chiếc ví nóng - hãy nhớ nguyên tắc vàng trước đó là không bao giờ số hóa cụm từ khóa gốc của bạn.
Anh ta sau đó có vẻ đã tải xuống một phần mềm ghi hình giả mạo gọi là ODS mà đang được quảng cáo như một quảng cáo ở đầu trang của tìm kiếm Google.
Đây là phần mềm độc hại, nó đã đánh cắp cụm từ gốc sau đó đánh cắp tất cả tài sản trong ví nóng của anh ấy và cũng là ví lạnh của anh ấy.
Nhận xét chính:
KHÔNG BAO GIỜ ‘số hóa’ cụm từ gốc của bạn bằng bất kỳ cách nào = gõ nó vào bất kỳ loại bàn phím nào (điện thoại cũng vậy) hoặc chụp ảnh (sao lưu tự động lên dịch vụ đám mây cũng đã khiến người dùng bị đe dọa.)
Thông báo miễn trừ trách nhiệm:
Bài viết này được sao chép từ [Người trong cuộc sâu sắc], Chuyển tiếp tiêu đề gốc 'Làm thế nào để không bao giờ bị gồ ghề trong tiền điện tử nữa', Tất cả bản quyền thuộc về tác giả gốc [THÔNG TIN]. Nếu có ý kiến phản đối bản in lại này, vui lòng liên hệ với Cổng họcđội ngũ và họ sẽ xử lý nhanh chóng.
Miễn trách nhiệm: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
Việc dịch bài viết sang các ngôn ngữ khác được thực hiện bởi đội ngũ Gate Learn. Trừ khi có đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là cấm.
Bài viết liên quan
Cách đặt cược ETH?
Phân tích cơ bản là gì?